Asegurar datos confidenciales en un DB, ¿vale la pena usar H2?

Estoy diseñando una aplicación web en este momento, y uno de los requisitos es asegurar las credenciales del usuario y sus roles. Ahora ofc además del habitual hash pwd + salt + .... Estaba pensando en poner esas tablas específicas en una base de datos H2 encriptada, y el resto de los datos en MySQL db. Las ventajas de H2 en mi caso son: almacenamiento en memoria, lo que significa un acceso más rápido; db cifrado para una capa adicional de seguridad en caso de que el servidor se vea comprometido.

Mi pregunta: ¿es esta una práctica común cuando se exige una capa de seguridad adicional? Es decir, ¿es una buena idea separar la información de inicio de sesión (en mi caso, son los datos confidenciales) de los otros datos?

Gracias

Respuesta 1

Ok, obtuve mi respuesta en el foro de seguridad, para aquellos interesados, este es el enlace https://security.stackexchange.com/questions/7062/securing-sensitive-data-in-a-db-is-using-h2-worth -eso

Respuesta: 2

No creo que esto realmente agregue una capa relevante de seguridad.

Si su servidor está comprometido y su servidor puede verificar las credenciales de los usuarios, entonces quien haya comprometido su servidor también tiene los datos necesarios para verificarlo (por ejemplo: necesitaría almacenar la clave / contraseña de cifrado en el servidor para descifrar el DB, a menos que lo ingrese en cada inicio).

Y: complica bastante su configuración, lo que en sí mismo puede generar muchos problemas de seguridad ("¿Por qué el componente A no puede leer este archivo? Oh, lo haré legible para todo el mundo"). La simplicidad puede ser buena para la seguridad.

Respuesta: 3

Tengo una página index.jsp que carga una imagen. Al enviarlo va a un servlet Upload.java. En el servlet, estoy verificando si la extensión de la imagen ("jpg", "png", etc.) y reenvía a la nueva página jsp ...

I'm facing a problem when I try to read the content of a PDF document. I'm using iText 2.1.7 with Java, and I need to analyze the content of a PDF document: at first I was using the PdfTextExtractor's ...

Estoy intentando crear una acción HTTPRouter (dentro de un esb) que envía algo de XML a una URL externa. La URL es segura, pero tiene un certificado autofirmado para el que no tengo el almacén de claves. Abajo ...

Está bien documentado que un código como el siguiente Rectángulo final limita = device.getDefaultConfiguration (). GetBounds (); Inserciones finales screenInsets = Toolkit.getDefaultToolkit () ....